15 марта 2018 года Google Chrome перестанет доверять SSL-сертификатам Symantec — так объявили инженеры Google в блоге разработчиков Chromium. Не у дел останутся и сертификаты, связанные с Symantec цепочкой доверия — GeoTrust, Thawte и RapidSSL.
- Как так получилось?
- Когда браузер перестанет доверять сертификатам?
- Что делать владельцам сертификатов Symantec, GeoTrust, RapidSSL и Thawte?
Как так получилось
В 2015 году Symantec впервые нарушили правила выдачи сертификатов — выпустили сертификаты без запроса владельцев. Среди пострадавших оказались даже сервисы Google — Google.com, Gmail.com и Gstatic.com.
В январе 2017 года ситуация повторилась. Сертификационный центр выпустил 108 ошибочных SSL-сертификатов с расширенной проверкой (EV). А весной того же года специалисты Google обнаружили, что под именем Symantec сертификаты выдавали 4 сторонние компании. Это серьезное нарушение правил выдачи сертификатов — ошибочно выданными сертификатами могли воспользоваться мошенники.
Сертификационный центр не предоставил отчеты об этих инцидентах и, как следствие, потерял доверие Google и Mozilla.
Чтобы окончательно не потерять позиции на рынке SSL-сертификатов, Symantec продали подразделение Website Security конкуренту DigiCert за $950 млн.
С 1 декабря 2017 DigiCert начнут выпускать сертификаты Symantec на собственной, более безопасной инфраструктуре, а корневой сертификат Symantec перестанет быть главным в цепочке доверия.
Когда браузер перестанет доверять сертификатам?
13 сентября 2018 года Google Chrome полностью прекратят поддержку сертификатов, выпущенных до 1 декабря 2017 года. Изменения пройдут постепенно:
24 октября 2017 – релиз версии Chrome 62.
В этой версии браузера с помощью инструментов разработчика можно будет узнать, надёжен ли ваш сертификат. Сертификат останется доверенным — посетители сайта не заметят изменений.
1 декабря 2017 – DigiCert начнет выпускать сертификаты Symantec на базе новой инфраструктуры. Утрата доверия к Symantec не коснется SSL-сертификатов, выпущенных после 1 декабря 2017 г.
15 марта 2018 — релиз бета-версии Chrome 66.
Браузер перестанет поддерживать сертификаты Symantec, GeoTrust, Thawte и RapidSSL, выпущенные до 1 июня 2016. Пользователи увидят на сайте ошибку безопасности.
13 сентября 2018 — релиз бета-версии Chrome 70.
Все сертификаты, выпущенные до 1 декабря 2017, станут недоверенными.
23 октября 2018 — стабильная версия Chrome 70.
Все пользователи увидят ошибку безопасности на сайте с SSL-сертификатом, выпущенным до 1.12.2017.
Что делать владельцам сертификатов Symantec, GeoTrust, RapidSSL и Thawte?
24 октября 2017 года проверьте, надёжен ли ваш сертификат, через инструменты разработчика Google. С первого декабря этого года вы сможете перевыпустить ненадёжный сертификат бесплатно через личный кабинет.
Изменения вступят в силу только в марте 2018 года. Не торопитесь перевыпускать сертификат — Google может изменить сроки или вовсе отменить санкции к Symantec.
Если перевыпустить сертификат сейчас — вам придется перевыпускать его повторно до 13 сентября 2018 года.
Будем держать вас в курсе — в октябре расскажем, как проверить надёжность сертификата, и вовремя сообщим об изменениях.
